Fb mit pfSense (welche Hardware)?
-
Ich werde nun einfach mal den APU bestellen.
Wifitechnisch bin ich immer noch unsicher. Die genannten Möglichkeiten sind mir ehrlich gesagt zu teuer, zumal wenn alles gleichzeitig gekauft werden soll. Muss ich ggf. nachrüsten. Oder kennt Ihr noch ein Gerät mit Dualband, VLAN und OpenWRT, das man relativ günstig bekommen kann?
-
Servus,
mir ist Flexibilität und Standarthardware sehr wichtig. Daher verbaue ich sehr oft ein Gigabyte GA-J1900N-D3V (4x2GHz Celeron) in einem Gehäuse mit Pico-PSU. Dazu 4 GB S0-DIMM und eine 2,5Zoll SSD. Kostet alles in allem keine 200 Euro und braucht ca. 15W. Die Kiste hat zwei LAN-Anschlüsse und - je nach Gehäuse - noch einen PCI + miniPCIe. Völlig ausreichend. LAN-VLANs tagge ich immer schön und lass den Rest die Switches machen. Preislich unschlagbar ist der Netgear GS108e. Ich würde nur noch v3 kaufen, die anderen nerven etwas. v3 hat endlich auch ein Webinterface und nicht nur diese blöde Software von Netgear.WLAN-AP: Solange man DD-WRT aufspielt ist TP-Link ok. Asus macht mir bisher auch recht viel Freude. Ansonsten selbstverständlich Linksys / Cisco. Jedenfalls habe ich auf meinen APs auch SSIDs für jedes gewünschte VLAN. Etwaige Probleme lassen sich locker durch einen gelegentlichen Neustart der Router lösen. Nicht schön, manchmal aber notwendig.DD-WRT läuft nicht immer so geil wie erhofft.
Von diesen Mini-Alix und APU halte aus folgendem Grund nichts: Sie sind nicht wartungsfreundlich bzw. konfigurierbar und haben oft nur eine SD-Karte.
Grüße
EDIT: Was ich die DD-WRT immer noch nicht ganz verstanden habe: Manche APs lassen sich über die GUI die VLANs konfigurieren, andere wiederum nur über ein Bootscript. Die Abweichung zu dieser Liste hier dürfte recht groß sein: http://www.dd-wrt.com/wiki/index.php/VLAN_Support
-
Zu @tpf nur meinen eigenen Senf aus der Erfahrung (wirklich subjektiv):
der J1900 Celeron: ist leider m.W. eine Desktop CPU und hat keinerlei AES-NI oder Quickassist, weswegen zwar seine Leistungsaufnahme toll (gering) ist, aber er an der Stelle (für pfSense) auch keinen wirklichen Mehrwert bietet. Klar, höherer Takt, mehr Kerne sind schön, aber wenn man mit größeren Crypto Vorhaben / VPN anfängt, ist er da ähnlich im Nachteil wie die APU ggü. den neuen Rangeley Atom CPUs (2x58 oder 2x50er). Muss man an der Stelle abwägen was man möchte. :)
Was Wartungsfreundlichkeit einer ALIX/APU angeht: halte ich für ein Gerücht ;) Ich habe Kunden, die die Dinger im Dutzend einsetzen gerade weil sie die fertig bespielt und mit Software bestückt ausliefern können und alles was der Kunde ggf. machen darf ist im Notfall die SD Karte tauschen (neue hinschicken - reinschieben - fertig). Das halte ich für je nach Einsatzzweck sehr wartungsfreundlich. Und da die Dinger recht günstig sind, halten solche Firmen auch gleich ein zwei Kisten inkl. Netzteile auf Lager. Funktioniert toll. :D Und das gerade WEIL sie nur die SD Karte haben, der Endkunde kann ggf. gar nichts falsch machen und braucht auch nichts zu tun. Dem kann man dann auch ne SD Karte schicken, austauschen, reboot, go.
Netgear Switch: in der Ordnung GS108e oder 116e o.ä. halte ich die Dinger leider für Schrott. Ja sind grün, brauchen wenig Strom, kein Lüfter etc. etc., aber dafür sind mir schon zu viele von den Dingern abgeraucht, machen komische Seiteneffekte, haben seltsame Wackelkontakte (gerade erst wieder einen GS105e zurückbekommen - Cat6 Kabel rein und etwas Wackeln -> Switch Reset). Danke, aber nein danke. Natürlich ist das subjektiv, aber es geht wohl nicht nur mir so ;)
WiFi AP: Bei den custom Firmwares stehe ich leidgeprüft auf dem Stand: wenn du wählen kannst, und eine Wahl OpenWRT ist, willst du OpenWRT. Punkt :D Dazu bin ich durch zu viele DDWRT Bugversionen gegangen. Und ich hab auch mit Linksys (by Belkin inzwischen, Cisco hat nichts mehr mit Endkundengeschäft zu tun) geliebäugelt, aber wenn ich ne Kiste bewerbe mit "WRT fähig" ab Werk und dann etliche Monate brauche, bis ich endlich die Treiber der Community öffne, damit die überhaupt mal ne Version bauen können, bin ich da nicht ganz so erbaut von. Entweder ist das Ding offen oder nicht. Dann hätte man aber auch gleich andere NICs verbauen können (bspw. ath statt den Broadcom) aber nunja. Gab ja genug Kritik dazu. :)
Aber wie immer - jeder hat sein eigenes Steckenpferd :)
-
Servus,
die eingesetzte Hardware schwankt mit dem Einsatzzweck und der war hier ausdrücklich nicht Enterprise. Klar, in einer Enterpriseumgebung fang ich mit dem Zeug nicht an, zahle aber auch entsprechend. Ebenfalls klar ist das C-Atom-Produkt wesentlich besser, oft aber auch überdimensioniert und dadurch auch zu teuer. Mir sind die Einschränkungen ohne SSD einfach viel zu groß, als das sich das preislich irgendwie rechtfertigen würde.300MBit OpenVPN habe ich schon hinbekommen. Einen Anschluss, Glas mal ausgenommen, was aber auch wieder Enterprise ist(komm mir jetzt bitte keiner mit den paar T-COM-Glas für Endkunden ;D), gibts in D so nicht. Somit wären wir wieder bei der Anforderung ;)
-
@tpf: Kabel Kunden haben im Downstream mitunter problemlos schon 200MBit, es wird weiter ausgebaut - wir kommen da also schon an die Schmerzgrenze ;) Und bei mir ist das auch durchaus etwas, was ich aus dem Berufsumfeld mit nach Hause nehme, denn da ist es mir erst recht wichtig, dass ich nach Arbeit abschalten kann und nicht weiterbasteln muss ;) Deshalb darf dann eben gern die Komponente (wie Switch) statt 50 mal 100€ kosten, wenn sie dafür Ruhe gibt, macht was sie soll und nebenbei noch VLAN und Krams kann, womit man das "Zuhause" wieder etwas besser absichern kann. Da bin ich durchaus auch im privaten nicht gern an "günstigen" Lösungen interessiert, sondern will dass es läuft.
Ob ich da jetzt SSD brauche oder SD Karte reicht - nuja das hängt von den Paketen ab. Mir würds reichen. :) -
aber wenn man mit größeren Crypto Vorhaben / VPN anfängt
Für den privaten Bereich sollte es aber langen, oder? D.h., von unterwegs aus wären ggf. ab und zu mal zwei Smartphones und zwei Laptops per VPN verbunden, ggf. auch nur je eins der Geräte. Das sollte der APU problemlos bewältigen…?
Wifitechnisch schwanke ich nun zwischen dem TL-WR1043ND (45 EUR) und TL-WDR3600 (55 EUR). Beide können OpenWRT und Dualband; andererseits bin ich mit dem Archer C7 mit knapp dem doppelten Betrag dabei, was langfristig gesehen auch okay wäre (bei letzterem müsste ich dann aber Glück haben und die richtige Hardwareversion erwischen, damit trotz OpenWRT auch 5GHz problemlos laufen).
-
Für den privaten Bereich sollte es aber langen, oder? D.h., von unterwegs aus wären ggf. ab und zu mal zwei Smartphones und zwei Laptops per VPN verbunden, ggf. auch nur je eins der Geräte. Das sollte der APU problemlos bewältigen…?
JupWifitechnisch schwanke ich nun zwischen dem TL-WR1043ND (45 EUR) und TL-WDR3600 (55 EUR). Beide können OpenWRT und Dualband;
Öhm, woher nimmst du die Erkenntnis, dass die DualBand haben? Beim 1043 sehe ich das nirgends. Der 3600 - ja. Da stehts auch explizit bei, allerdings eben bis Standard-n also 300 da nur 2 Bänder (anstatt 450 mit 3 Bändern).
Aber der 1043 hat Standard-n im 2,4er Band und gut. Da lese ich nichts von gleichzeitigem 5GHz Betrieb.Gruß
-
Moin,
Da bin ich durchaus auch im privaten nicht gern an "günstigen" Lösungen interessiert, sondern will dass es läuft.
Ich hingegen mag günstige Lösungen, hasse aber billige Lösungen 8)
Das ganze hat mir mal einen 50€ Gutschein von einem großen Brillenladen beschert, weil ich mich darüber beschwert hatte das das der Verkäufer günstig mit billig gleichgesetzt hat.-teddy
-
…Deshalb darf dann eben gern die Komponente (wie Switch) statt 50 mal 100€ kosten, wenn sie dafür Ruhe gibt...
Noch so einer, Du wirst mir immer sympathischer. ;D
Das ist mir persönlich (inzwischen) auch viel lieber, wenn die Geräte bei mir daheim einfach nur stressfrei laufen, als dass ich ein paar Euro spare.
Die Familie ist glücklich, und ich habe Zeit für sie. Das ist mit Geld nicht zu bezahlen.Netgear Switch: in der Ordnung GS108e oder 116e o.ä. halte ich die Dinger leider für Schrott. Ja sind grün, brauchen wenig Strom, kein Lüfter etc. etc., aber dafür sind mir schon zu viele von den Dingern abgeraucht, machen komische Seiteneffekte, haben seltsame Wackelkontakte (gerade erst wieder einen GS105e zurückbekommen - Cat6 Kabel rein und etwas Wackeln -> Switch Reset). Danke, aber nein danke. Natürlich ist das subjektiv, aber es geht wohl nicht nur mir so ;)
Nope, das ist nicht subjektiv.
Um Netgedöns mache ich seit Langem einen weiten Bogen und zwar aus genau diesem Grund.
Von 6 Netgedöns Geräten, die ich je in den Fingern hatte, hat genau einer überlebt. Und das war ein 16-port Gibt unmanaged IIRC.
Der Rest ging sofort oder innerhalb von 2 Tagen zurück, da defekt.
Und da trifft dann wieder obiger Punkt zu: dafür ist mir meine Zeit zu schade.
Lieber gleich richtig kaufen und Ruhe haben. Selbst das Einrichten komplizierterer Setups geht schneller von der Hand, da ich die Geräte bereits kenne und mich nicht erst in die Eigenheiten einarbeiten muss.Kürzlich habe ich eine nette Aussage gehört, die sich viel zu oft als richtig herausgestellt hat:
Wer (dem Kunden) beim Sparen hilft, der kann selbst nichts gewinnen.
Das lässt sich auch 1:1 auf meine Zeit anwenden. -
Ich hingegen mag günstige Lösungen, hasse aber billige Lösungen 8)
Da die Zeit für Engineering, Produkt-Recherche etc. dazuzurechnen ist, erachte ich eine bestehende Lösung für mehr monetäre Gegenmittel als günstiger.
Meine Freizeit kann ich mir mit keinem Geld der Welt wieder kaufen. Und von Freizeit habe ich definitiv zu wenig, aber das ist eine andere Geschichte. -
Da gehts mir wie Chris, mir ist inzwischen einfach meine Freizeit mehr wert als ständig überall Feuerwehr spielen zu müssen ;) Deshalb auch die "" um günstig. Ich wollte da nicht billig sagen, denn nicht immer sind die Lösungen im Vergleich tatsächlich billig aber funktionieren dann einfach wie "Ramsch". So steh ich eben bspw. mit Netgear ziemlich auf Kriegsfuß und nachdem ich jetzt sogar deren WLAN UFO (R7000 Nighthawk) habe zurückgehen lassen, weil das Ding für ~200€ ständig sein 5GHz Band verliert (und das geht wohl nicht nur mir so), bin ich da einfach von geheilt.
Früher hätte ich wahrscheinlich auch lieber noch mehr gebastelt. :) So wird man alt :DBeim WLAN bin ich jetzt aber den Schritt zu "günstig" gegangen. Das sauteure schlechte Ufo kam weg, dafür jetzt der Archer C7, da weiß ich wenigstens, dass ich notfalls OpenWRT drauf flashen kann und hab noch nen zweiten Versuch und so wichtig ist mir WLAN als Haupt Medium nicht. Deshalb momentan noch Werksfirmware, sobald OpenWRT CC rauskommt, dann ggf. die rauf und dann mal mit VLANs und so integrieren. Aber hauptsache erstmal es läuft 2/5GHz Band WLAN und die Geräte gehen. Ständig nen 200€ Router rebooten zu müssen ist einfach nicht OK. Deshalb leider Netgear auf die schwarze Liste ;)
-
Wenn 200€ für einen AP für Dich iO sind, dann schau Dir wirklich einmal die Ruckus Geräte an.
Meinen Chanalyser packe ich nur noch aus, wenn ich sehen will, warum andere Probleme haben… -
Wenn 200€ für einen AP für Dich iO sind
Eigentlich nicht ;) deshalb jetzt der "Rückschritt" zum TP-Link, aber ich werde mir die im Hinterkopf halten. Gute Optionen sind immer rar, wenns um WLAN geht. -
Ich habe jetzt endlich mal wieder Zeit und sitze gerade an der Konfiguration von pfSense mit diesem Setup:
pfSense läuft auf APU1D4, daran hängen mein Hauptrechner (LAN1) und der Archer C7 (LAN2) (getestet mit LAN2 -> Archer LAN und LAN2 -> Archer WAN). Obwohl LAN1 und LAN2 fast identisch konfiguriert sind (bis auf einen anderen IP-Bereich und kein IP6 für LAN2) kann ich mich darüber nicht mit dem Archer verbinden.
Auf dem Archer läuft die aktuelle Version von OpenWRT. Unter Network - Interfaces habe ich eine entsprechende statische IP(4) Adresse konfiguriert und als Gateway die IP von der APU angegeben. Per WLAN kann ich auf den Archer zugreifen, per LAN (Hauptrechner -> APU -> Archer) lässt sich keine Verbindung herstellen.
Unter DHCP Leases wird der Archer angezeigt (Online: online; Lease Type: active). Über die zugewiesene IP lässt er sich aber nicht erreichen. Könnt Ihr weiterhelfen? Auch das Internet ist, wenn ich per WLAN mit dem Archer verbunden bin, nicht erreichbar.
-
Moin,
schau mal unter Network -> Interfaces -> [Dein LAN Interface] -> Edit ->
physical settings: Hast Du da eine Bridge zwischen LAN und WLAN?
Firewall: Alle Interfaces in der grünen Zone?
Wieso wird der C7 unter DHCP Leases aufgeführt, statisch wäre doch sinnvoller? Soll er routen? Ich denke eher nicht, welchen Port des C7 hast Du angeschlossen?
Natürlich kannst Du den blauen WAN Port auch in die Bridge einbauen, aber ich habe einfach einen gelben LAN Port benutzt.
Hast Du schon V-Lans konfiguriert?-teddy
-
Hallo Teddy,
vielen Dank für den Tipp.
Ich habe dem C7 jetzt eine statische IP gegeben (ausserhalb des DHCP Rahmens) und APU entsprechend als Gateway einsgestellt. Aus einem Tutorial hatte ich die Info, den Ausgang der APU an den WAN des Routers anzuschließen; nun sieht die Konfiguration anders aus:
APU -> Switch -> sämtliche Geräte (auf dem gleichen LAN).
Der Hauptrechner kann auf PfSense zugreifen. Auf den C7 komme ich nicht (APU zu LAN). Mein NAS hängt auch am Switch und ist über die zugewiesene IP erreichbar.Ich muss wohl irgendwas mit der Konfiguration im C7 komplett falsch gemacht haben… wenn ich mich nun z.B. per WLAN mit einem der beiden WLAN-Netze des C7 verbinde, kann ich weder auf das Webinterface desselbigen zugreifen (zumindest über keine IP-Adresse; ifconfig gibt mir den Gateway nicht aus, in der den Systemeinstellungen (in diesem Fall "Netzwerk" unter OSX) sehe ich ihn auch nicht. Und das, obwohl die WLAN Verbindung erfolgreich hergestellt wurde.
Unter Network - Interfaces ist aktuell nur das LAN Interface grün; WAN und WAN6 (?) sind deaktiviert.
V-LANs wollte ich erst konfigurieren, nachdem der C7 zumindest soweit läuft, dass ich mich mit verschiedenen Devices gleichzeitig darauf verbinden kann. So kann ich das auch direkt sehen, ob sie die gewünschten IPs zugewiesen bekommen usw. Oder muss das vorher eingerichtet werden?
-
moin,
V-LANs wollte ich erst konfigurieren, nachdem der C7 zumindest soweit läuft,
Das halte ich für sinnvoll, denk an die Backups ;D
Hast Du mal geschaut ob der C7 noch auf 192.168.1.1 reagiert?
Einfach mal mit Wireshark ein bischen schauen was passiert und ob der C7 sich meldet.-teddy
-
Ich habe alle IPs noch einmal neu vergeben. Nun nimmt der C7 die APU als Gateway an. Bis auf den Freifunk-Router (der komischerweise nun gar keine SSID mehr sendet, aber das wird morgen angegangen) funktioniert nun alles :)
Sobald alle Geräte, die insgesamt ins Netzwerk gehören einmal connected waren, kann ich die Mac-Adressen-Einschränkungen vornehmen und alles weitere konfigurieren.
Vielen Dank für die schnelle Hilfe :)